Múltiples vulnerabilidades de cross-site scripting (XSS) y cross-site request forgery (CSRF) en plugins de Jenkins

Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a varios plugins de Jenkins, que permitirían a un atacante realizar ataques del tipo cross-site scripting (XSS), cross-site request forgery (CSRF), entre otros. 

Las vulnerabilidades reportadas se componen de 13 (trece) de severidad “Alta” y 5 (cinco) de severidad “Media”. Las principales se detallan a continuación: 

• CVE-2023-28669, de severidad “Alta” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de validación en las clases y métodos de la interfaz de usuario del plugin JaCoCo de Jenkins. Esto permitiría a un atacante remoto realizar ataques del tipo cross-site scripting (XSS) en el sistema afectado. 

• CVE-2023-28670, de severidad “Alta” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en el control de la variable que representa la vista en línea de la URL en JavaScript, correspondiente al plugin Pipeline Aggregator View de Jenkins. Esto permitiría a un atacante remoto autenticado y con permiso de lectura, realizar ataques del tipo cross-site scripting (XSS) en el sistema afectado. 

• CVE-2023-28672, de severidad “Alta” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla en la validación de permisos de la conexión test HTTP Endpoint del plugin OctoPerf Load Testing de Jenkins. Esto permitiría a un atacante remoto autenticado y con permiso de lectura conectarse a una URL especialmente diseñada y obtener credenciales previamente almacenadas del sistema afectado. 

Puede acceder al listado completo de vulnerabilidades aquí 

Algunos productos afectados son:  

• JaCoCo Plugin, versión 3.3.2 y anteriores. 
• OctoPerf Load Testing Plugin, versiones 4.5.0 hasta 4.5.2. 
• Pipeline Aggregator View Plugin, versión 1.13 y anteriores. 
• AbsInt a³ Plugin, versión 1.1.0 y anteriores. 
• Convert To Pipeline Plugin, versión 1.0 y anteriores. 

Puede acceder al listado completo de productos afectado en el siguiente enlace 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace: 

• https://plugins.jenkins.io/ 

Referencias: 

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1538/ 
• https://www.jenkins.io/security/advisory/2023-03-21/#SECURITY-2966 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-28669 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-28670 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-28672 
• https://plugins.jenkins.io/